ATO (Account Takeover)
O que é Account Takeover?
Account Takeover (aquisição de conta, em uma tradução para o português) é o termo usado para mencionar um roubo de identidade. No mundo online, é comum que o conceito seja aplicado em casos de invasão ou roubo de senha.
Naturalmente que, ainda falando do universo digital, o foco de ação são contas financeiras — como acesso ao seu banco ou à sua corretora de valores. O objetivo é acessar dados pessoais e, claro, ter acesso ao seu dinheiro.
Na prática, é bem comum que o termo seja usado de maneira abreviada. Isto é, ao invés de dizer "Account Takeover", os especialistas da área mencionam a prática apenas por ATO.
Como funciona um Account Takeover?
Basicamente, um Account Takeover tem por objetivo invadir uma conta de um usuário. Como muitas pessoas não capricham na criação das suas senhas no Brasil, usando de versões básicas (como incluir iniciais ou a data de aniversário, por exemplo), acabam facilitando a ação de infratores.
Para um processo de ATO, existem algumas metodologias podem ser aplicadas pelos invasores. Uma das mais comuns é chamada de hacking, quando uma série de combinações de senhas são feitas automaticamente tentando acertar o login. Você mesmo deve ouvir com frequência a alcunha de "hacker" para praticantes de Account Takeover.
Além disso, outro método bem conhecido é o phishing o qual consiste em enviar e-mails (o endereço eletrônico é uma informação fácil de obter) com intuito de que o leitor revele informações pessoais — inclusive senhas.
Por fim, existem ainda métodos alternativos e manuais como a procura em redes sociais por informações que possam dar indícios de uma senha ou mesmo a compra de informações. Acredite: já existe um verdadeiro mercado que negocia informações para ataques de ATO.
O que fazer para evitar um Account Takeover?
Por não ser exatamente uma novidade, o processo de ATO já é mapeado por boa parte das instituições financeiras. Há, inclusive, uma série de práticas para reduzir riscos aos usuários.
Uma delas é a exigência de senhas que cumpram determinadas regras — como a inclusão de uma letra maiúscula ou o uso de caracteres especiais. Isso obriga o usuário a dedicar maior atenção na formulação do seu acesso e torna a obtenção da senha mais difícil.
Outra boa prática é a mudança de senha e maneira periódica pelo usuário. Assim, mesmo que o código seja descoberto por um invasor, ele não conseguirá manter o ATO após a modificação.
E as próprias plataformas vêm contribuindo para mitigar esses riscos com diversas ações. É o caso da criptografia dos dados (dificultando o acesso às informações dos usuários), o acesso em duas etapas, o monitoramento de localização do dispositivo (alertando acessos estranhos) ou até o uso de um token único (uma forma de exigir uma senha dupla).
Todas essas práticas não eliminam um Account Takeover. No entanto, tornam o processo mais difícil, protegendo o usuário e as suas informações.
Quais são os principais objetivos de um ATO?
Como já mencionamos ao longo do texto, um dos principais objetivos dos invasores é ter acesso às plataformas financeiras de um usuário, conseguindo assim manipular o dinheiro do mesmo. Isso pode valer tanto para transferências, como o uso indevido de cartão de crédito.
No entanto, nem sempre o foco é apenas dinheiro. Há hackers que visam conhecer mais do usuário, permitindo ataques mais personalizados futuramente em outras contas ou mesmo a negociação de informações para outros invasores. Para cargos mais elevados ou figuras públicas, o foco do ataque também pode ser a reputação.
De qualquer forma, seja qual for a razão de um Account Takeover, ela nunca é benéfica para o usuário. Portanto, seguir as recomendações de segurança é o melhor a fazer visando a proteção da conta.